基于多核處理器的DPI平臺的設計與應用
IDS/IPS類應用傾向于將8比特字符的256個可能數(shù)值都明確地用規(guī)則表示出來,因此字符集壓縮對此類應用來講作用較小,所以適合采用增量編譯。采用增量編譯的優(yōu)勢在于不會特別增加字節(jié)數(shù)。另外,為了進行包分類,這類應用通常使用很多的起始狀態(tài)條件,這也適合采用增量編譯。有起始狀態(tài)條件的規(guī)則集使用增量編譯因為不需進行字符集壓縮,所以可減小第一次的編譯時間;依賴于規(guī)則改變的數(shù)目和復雜度,第二次以及隨后的編譯時間也會大幅縮短;并且減小了存儲記錄的需求。
本文引用地址:http://butianyuan.cn/article/265050.htm如果規(guī)則集沒有起始條件,那么最好還是使用全部編譯的方式,因為全部編譯具有字符集壓縮的優(yōu)勢。
DPI在UTM平臺上的應用
目前企業(yè)網(wǎng)都面臨著入侵防御、防病毒和防垃圾郵件等三個主要的安全問題,UTM的出現(xiàn)使得通過一臺設備來解決上述安全問題成為可能。但這同時也帶來了性能瓶頸,因為對不間斷的數(shù)據(jù)流進行處理,并根據(jù)不同的惡意威脅對包進行深度掃描的計算量非常龐大,即使是多核平臺也很難達到預定性能。在這種情況下,專用的加速引擎Tarari就可以幫助UTM設備在安全能力和處理性能間達到均衡。
Tarari可以從主處理器上卸載內(nèi)容處理任務,利用專用硬件來加速評估過程,最后再將評估結果送回主處理器上的安全應用程序。
對于入侵防御,UTM設備可以檢測輸入報文的所有內(nèi)容,并將內(nèi)容提交給Tarari的正則表達式處理引擎,由它來加速與攻擊模式的比較過程。匹配結果返回主處理器后,入侵防御應用程序會決定如何來處理攻擊包。
對于防病毒保護,數(shù)據(jù)流以文件形式通過UTM設備進入正則表達式引擎,引擎在線速情況下會將文件與病毒特征數(shù)據(jù)庫進行評估匹配,并對可疑內(nèi)容進行啟發(fā)分析。評估結束后,主處理器上的防病毒應用程序就可以對感染文件進行預定處理。
對于防垃圾郵件應用,輸入流作為Email通過UTM設備接入正則表達式引擎,引擎會將內(nèi)容圖案與垃圾郵件特征數(shù)據(jù)庫進行評估對比,識別出問題信息。主處理器上運行的反垃圾郵件應用程序讀出返回值后可以應用不同策略來處理這些信息。
當UTM平臺有了Tarari的加速,它可以真正實現(xiàn)對數(shù)據(jù)報文、信息和文件的深度檢測,以對網(wǎng)絡提供安全保護。
總結
通過軟件的方式也可以實現(xiàn)DPI檢測功能,但這種方式性價比較低,功耗較高。比如在3GHz的Xenon四核平臺上,每核只能實現(xiàn)60Mbit/s的吞吐量,而此時功耗為90W;采用最低端的T1000芯片可以實現(xiàn)250Mbit/s的吞吐量,而功耗不足2W。
Tarari與軟件方式相比還有一個明顯的優(yōu)勢,在于它基于硬件的跨包檢測能力,相對于用軟件來檢測跨包威脅,比如入侵、惡意攻擊等,Tarari的硬件處理速度遠遠超出了軟件的處理速度。
Tarari芯片內(nèi)部檢測引擎的理論處理速度超過目前芯片的I/O吞吐率,因此,這些額外的處理能力使得LSI公司有能力在不遠的將來推出更快更高效的產(chǎn)品。目前T1000系列芯片LSI采用了90nm工藝技術,隨著LSI向65nm工藝的推進,Tarari系列的功耗將會更低,處理性能將會得到更大的釋放。
評論